Сообщения

Юмор. О профессиональном стандарте «Блогер в сфере информационной безопасности»

Как вы, наверное, слышали недавно госдумой были внесены изменения в ФЗ «об образовании в РФ» в части регулирования просветительской деятельности. Сразу же появилось много вопросов, о том, что блогеры по информационной безопасности тоже попадают под эти требования и как именно их будут регулировать? Как будто в ответ на эти вопросы недавно был утвержден и опубликован Профессиональный стандарт «Блогер в сфере информационной безопасности».   В стандарте определены виды блогеров, их трудовые функции, необходимое образование, навыки и умения, а также порядок взаимодействия с органами контроля. В частности, определено, что осуществления своей деятельности блогеры должны будут получить разрешительное заключение от трех профильных органов государственного контроля – Роскомнадзора, ФСТЭК России и ФСБ России. Для этого нужно будет: ·         пройти обучение в организациях, установленных профильными органами; ·         подтвердить соответствие утвержденному стандарту ; ·        

Разъяснения ФСТЭК по поводу уровней доверия СЗИ для ГИС

Изображение
  В конце прошлого года создалось впечатление что отсутствует даже базовый набор средств защиты информации подходящий под новые требования к уровням доверия. Даже у российских производителей традиционно известных только сертифицированными решениями был провал. С этим была связана последняя моя статья и аналитика в 2020 году . С момента её публикации новости о сертификации по УД посыпались как из рога изобилия и острота проблемы спала. В той статье я обещал поделиться ответами ФСТЭК по поводу применения новых требований. И хотя представители ФСТЭК в этом году и так уже публично дали на удивление много публичных комментариев ( рекомендую пересмотреть видео записи ), но возможно кому-то будет полезным посмотреть и письменные ответы органа гос. контроля на мои вопросы: “Прошу уточнить возможность применения в ГИС средств защиты информации, имеющих действующий сертификат или техническую поддержку, но не сертифицированные по уровням доверия:   ·         Можно ли использовать такие ср

Рекомендации Банка России по информирование клиентов кредитных организаций

Изображение
  Недавно прошло онлайн совещание кредитных организаций, АРБ с Банка России по информированию клиентов по вопросам противодействия мошенничеству.   Совещание было посвящено недавним методическим рекомендациям Банка России 3-МР по «усилению кредитными организациями информационной работы с клиентами в целях противодействия несанкционированным операциям» от 19.02.2021 Обязанность формировать для клиентов рекомендации по защите информации и доводить до клиентов информацию о возможных рисках установлена рядом документов: ·         пунктом 7 положения 683-П ·         пунктом 2 положения 684-П Задача повышения киберграмотности населения и координация деятельности в этойсфере поднадзорных организаций установлена п. 2.2.1.5 Положения о Департаменте информационной безопасности Банка России. В свое время финансовые организации задавали вопросы, о том, что включать в рекомендации, в каком формате и по каким каналам надо доводить эту информацию до клиентов. Собственно недавние МР-3 и являю

Mind map по моделированию угроз ИБ

Изображение
11 марта 2021 вместе с Ксенией Лебедевой (Шудровой) и Алексеем Лукацким провели вебинар по моделированию угроз информационной безопасности. Уже прошел почти месяц с момента публикации новой методики ФСТЭК России , а никаких обзоров, анализа и обсуждений ещё не было. Нужно было кому то начинать и мы взяли на себя это. Лично я начинал анализ новой методики с того, что сделал для себя mind карту документа – отметил там основные тезисы, проблемы, направления будущей аналитики. Её же использовал при подготовке вебинара и пару раз она промелькнула на самом вебинаре. В связи с большим количеством запросов на её в комментариях – выкладываю эту карту в картинке тут. А исходники будут в группах в VK и FB Основные мои мысли по поводу новой методики: ·         В методике достаточно много остается на экспертную оценку, экспертное определение и нужно много придумывать. Соответственно нужно закладывать большое количество трудозатрат по сравнению с предыдущими вариантами методик. ·         Хот

Лучшие практики обезличивания персональных данных

Изображение
Вчера совместно с Ксенией Лебедевой (Шудровой) провели вебинар в новом для нас мини формате. Если предыдущие межблогерские вебинары стремились по времени к 3 часам, то этот удалось уместить в 1 час. Сделали обзор законодательства и судебной практики РФ по обезличиванию ПДн. В большинстве случаев обезличивание ПДн остается добровольным мероприятием оператора ПДн. Но постепенно появляется все больше случаев, когда обезличивание является обязанностью: 152-ФЗ •         Альтернатива удалению при достижении целей обработки ПДн •         При обработке в статистических или иных исследовательских целях •         В целях повышения эффективности гос. и муниципального управления •         В целях эксперимента по ИИ в Москве 123-ФЗ •         В целях эксперимента по ИИ в Москве 44-ФЗ •         Решения врачебной комиссии при закупке лекарственных препаратов 192-ФЗ •         Обезличивание фискальных данных 78-ФЗ •         Обезличивание результатов жалоб Уполномоченному при

Новые методические документы ФСТЭК России

Изображение
 Вчера на сайте ФСТЭК России были опубликованы 2 методических документа: ·         Рекомендации по оценке показателей критериевэкономической значимости объектов критической информационной инфраструктурыРоссийской Федерации ·         Методика моделирования угроз безопасностиинформации Обзор первого методического документа я сделал в формате короткометражного видео. Рекомендую ознакомится: https://youtu.be/CTRp5GF4uRQ Обзор проекта методики моделирования угроз я делал ранее , но как я не старался сделать это в максимально обобщенном виде, всё равно изменения итоговой методики получились значительные – значит обзор надо будет переделывать. Но этот подробный разбор будет чуть позже. А пока отмечу что: ·         поменялся рекомендованный порядок этапов моделирования: ·         теперь в методике отсутствуют формулы, но таблиц стало побольше ·         самое сложное – определение сценариев угроз всё равно, по сути, остае

Обсуждение изменений законодательства о персональных данных на недавних мероприятиях

Изображение
 На несколько недель после публикации изменений в 152-ФЗ внесенных 519-ФЗ экспертное сообщество замерло, не было видно аналитики, публикаций экспертов… Наконец 28 января 2021 сезон комментариев открыл Роскомнадзор на своем дне открытых дверей. Отдельно прокомментировали изменения законодательства.   А также ответили на некоторые вопросы от сообщества, в том числе про распространение ПДн   Делаю основной вывод : ·         всем операторам надо определится: o    используют ли они персональные данные из публичных источников? o    публикуют ли они данные пользователей? o    предоставляют ли пользователям самим публиковать данные о себе? ·         все соцсети, форумы, менеджеры, маркеты, отзовики, доски почета – видимо да ·         если да, то придется получать отдельное согласие от субъекта ·         получать напрямую, либо через систему РКН ·         текущие требования к содержимому согласия опубликованы ·         разработать порядок действий в случае отзыва сог